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Signierung und Singnaturpruf ung von Nachrichten 



Technisches Gebiet 



Die Erfindung betrifft die Signierung und Singnaturpruf ung 
von Nachrichten unter Verwendung geheimer Schliissel. 



Stand der Technik 

Fiir die Falschuhgssicherung von' Nachrichten ist bekannt , 
dafi mit Hilfe von symmetrischer Kryptographie eine Signatur 
gebildet wird, mittels derer der Empfanger mit sehr hoher 
Wahrscheinlichkeit priifen kann, ob die Nachricht unver- 
falscht libermittelt wurde und von dem vorgegebenen Absender 
stammt. Vorausset zung ist jedoch, dafi Absender und Empfan- 
ger liber einen gemeinsamen geheimen Schliissel verfiigen, der 
sicher gespeichert sein mufi. Ein solches Verfahren ist bei- 
spielsweise in der Patenschrift US 4,549,075 beschrieben. 

Symmetrische Kryptographie, insbesondere das DES -Verfahren, 
wird haufig in Chipkarten eingesetzt, weil es sehr effizi- 
ent programmierbar ist. Die Chipkarten weisen ferner einen 
Permanentspeicher auf, in dem ein Hauptschliissel sicher ge- 
heim gespeichert ist, der auch in einer Zentrale sicher ge- 
speichert ist. 

Soil nun. eine Nachricht f alschungsgesichert von einem Ab- 
sender an den. Empfanger, hier die Chipkarte, gesendet wer- 
den, so muS bislang der Absender die Nachricht von der Zen- 
trale signieren . lassen, da die Zentrale den geheimen Haupt- 
schliissel nicht dem Absender zur Verfiigung stellen kann, • 



ohne das Gesamtsystem zu schwachen. Zudem sind Mafinahmen 
notwendig, damit die Nachricht bei der Ubertragung von dem 
Absender zur Hauptstelle gegen Verfalschung und Vortau- 
schung eines legitimen Absenders geschiitzt ist. 

Aufgabe der Erfindung ist es daher, ein Verfahren zur Fal- 
schungssicherung von Nachrichten durch eine Signatur anzu- 
geben, die von einem Absender gebildet und zu einem Empfan- 
ger gesendet werden kann, ohne dafi der Absender iiber den 
geheimen Hauptschliissel verfiigt, den der Empf anger und eine 
Zentrale gemeinsam haben, oder die Nachricht zuvor zu der 
Zentrale zwecks Signaturbildung gesendet werden mufi. 



Darstellung der Erfindung 

Die Erfindung benutzt ein Verfahren, bei dem die Zentrale 
Signierschliissel vorab bildet und dem Absender bereit- 
stellt, Der Empf anger kann, wie genauer in den Ausfuhrungs- 
beispielen beschrieben wird, den Signierschliissel nachbil- 
den und damit die Nachricht priifen. 

Es handelt sich urn ein Verfahren zur Signierung einer Nach- 
richt, wobei eine Zentrale und der Empf anger einen perma- 
nenten gemeinsamen Hauptschliissel haben. Die Zentrale er- 
zeugt vorab eine Sequenzzahl und aus dieser mittels einer 
Einwegfunktion einen Signierschliissel. Beides wird gesi- 
chert dem Absender ■ bereitstellt . Der Absender bildet mit- 
tels des Signierschliissels eine Signatur der Nachricht und 
sendet sie mit Sequenzzahl und Nachricht an den Empf anger. 
Der Empfanger bildet mittels Einwegfunktion, Hauptschliissel 
und Sequenzzahl einen Priif schliissel und priift damit die Si- 
gnatur der Nachricht. 



Weitere Merkmale and Vorteile der Erfindung ergeben sich 
aus der folgenden Beschreibung, welche in Verbindung mit 
den beigefiigten Zeichnung die Erfindung an Hand eines Aus- 
fuhrungsbeispiels erlautert . 

Kurzbeschreibung der Zeichnung 
Es zeigt 

Fig. 1 ein Diagramm, in dem der Datenflufi mit den betei- 
ligten Komponenten symbolisiert ist. 

Beschreibung mihdestens einer Ausf uhrungsf orm mindestens 
der Erfindung 

In Fig. 1 sind die drei Teilnehmer an dem Verfahren, nam- 
lich die Zentrale 10, der Absender 2 0 und der Empf anger 30, 
durch punktstrichlierte Lihien getrennt, angedeutet . 

Die Zentrale 10 enthalt einen gesicherten Speicher 11 fiir 
einen geheimen Schliissel, der ansonsten beispielsweise in 
einem symmetrischen kryptographischen Verschliisslungs- oder 
Signierverfahren verwendet wird. Der Empf anger 3 0 enthalt 
einen entsprechenden Speicher 11', der denselben Schliissel 
enthalt. Das Einschreiben dieses Schlussels erfolgt bei- 
spielsweise in der Zentrale bei der Initialisierung, wenn 
es sich bei dem Empf anger 3 0 um eine Chipkarte handelt. An- 
dernfalls sind aus der Kryptographie bekannte Schliisselver- 
teilungsverf ahren anzuwenden. Dabei wird der Schliissel nur 
einmal oder in sehr grofien Zeitabstanden gespeichert; fiir 
das Verfahren nach der Erfindung ist die Speicherung als 
permanent anzusehen . 



Die Zentrale 10 enthalt ferner einen Sequenzgenerator 12. 
Dieser liefert eine Reihe von jeweils unterschiedlichen 
Zahlen. Im einfachsten Fall ist dies eine fortlaufende Num- 
mer. Besser ist jedoch die Verwendung eines bekannten Pseu- 
do-Zufallszahlengenerators, z.B. nach der Modulo -Met ho de . 
Bei richtiger Wahl der Parameter liefern diese Pseudo- 
Zuf allszahlen-Generatoren eine Folge von jeweils neuen Zah- 
len, bis der durch den Modulus bestimmte Zyklus durchlaufen 
ist . Auch konnen absteigende Nummern oder solche mit einer 
Schrittweite grofier als Bins verwendet werden. Gleichfalls 
moglich ist die Verwendung von Datum und Uhrzeit als ein- 
deutig Sequenznummer , gegebenenf alls als Zahl der Sekunden 
seit einem verabredeten Beginn. 

Die Zentrale erzeugt also ein oder mehrere Sequenznummern 
12 . Aus einer solchen Sequenznummer 12 wird mittels des 
Hauptschlussels durch einen Einweg-Verschliissler 13 ein Si- 
gnierschlussel 14 gebildet. Dies ges.chieht am einfachsten, 
indem die Sequenznummer 12 mittels des Hauptschlussels ver- 
schliisselt wird. Hierbei wird eine kurze Sequenznummer 
durch weitere Daten auf die Blocklange des Vefschlusslungs- 
verfahrens aufgefiillt. Zwar sind hierzu binare Nullen ver- 
wendbar; besser ist eine Funktion der Sequenznummer, z.B. 
deren . Quadrat . Auch moglich ist ein konstanter Text, der 
nicht aus binaren Nullen besteht und vertraulich gehalten 
wird. Da meist die Blockgrofie in der Grofienordnung der 
Schliissellange liegt, ist das Ergebnis als Schlussel wei- 
terverwendbar; gegebenfalls sind Bits aufzufullen oder 
durch Faltung die Bit zahl zu reduzieren. 

Wesentliche Eigenschaft des Einweg-Verschliisslers ist es, 
dafi ein Riickschlug auf den Hauptschliissel praktisch nicht 



moglich ist . Obwohl die soeben beschriebene Methode keine 
Einweg-Verschlusslung ist, weil z.B. der Empf anger durch 
Dechif f iriern aus dem Signierschliissel die Sequenzzahl bil- 
den konnte, ist die "Einweg" -Funktionalitat wesentlich. 

Daher werden in anderen Ausf lihrungsf ormen andere Einweg - 
Funktion verwendet, die Hauptschlussel und Sequenznummer 
reproduzierbar zu einem Signierschliissel verkniipfen, ohne 
daE jemand ohne den Hauptschlussel zu einer gegebenen Se- 
quenznummer einen gultigen Signierschliissel bzw. umgekehrt 
bilden oder aus dem Signierschliissel und der Sequenznummer 
den Hauptschlussel bestimmen kann. Solche Verfahren werden 
allgemein als "Message Authentication Codes" (MAC) bezeich- 
net. Ein solcher kann insbesondere durch eine beliebige, 
kryptographisch sichere Einweg-Funktion auf eine Kombinati- 
on von Hauptschlussel und Sequenznummer gebildet werden. 
Als Kombination sind u.a. Konkatenation, Exklusiv-Oder , 
Multiplikation mit oder ohne Modulobildung, Addition mog- 
lich. 

Die Zentrale 10 stellt also ein oder mehrere Paare von Se- 
quenznummer 12 und daraus erzeugtem Signierschliissel 14 be- 
reit. Dies kann z.B. Ausdrucken auf Sicherheitspapier , 
durch Einspeichern in eine weitere Chipkarte oder durch 
sonstige gesicherte Dateniibermittlung geschehen. Diese Paa- 
re werden dem Absender 20 vorab zur Verfiigung gestellt und 
mussen von diesem gesichert und vertraulich gespeichert 
werden. 

Der Absender 20, der eine Nachricht 21 an den Empf anger 3 0 
senden mochte, entnimmt ein Paar von Sequenznummer 12 und 
Signierschliissel 14 und bestimmt die Signatur der Nachricht 
21 mittels des Signieres 24. Bevorzugt wird auch hierbei 



das DES-Verfahren, z.B. nach ANSI X9.9, verwendet . Alterna- 
tiv kann eine Signatur durch eine Kombination einer krypto- 
graphischen Hash-Funktion mit einem "message authentication 
code" erzeugt werden. Verfahren hierzu sind in der krypto- 
graphischen Literatur vielfach und ausfuhrlich beschrieben. 

Sodann bildet der Absender eine Datensatz 22, der drei Fel- 
der mit der Sequenznummer 22a, der Nachricht 22b und der 
Signatur 22c enthalt . Der soeben verwendete Signierschliis- 
sel 14 wird geloscht. 

Nunmehr wird der Datensatz 22 zu dem Empf anger 3 0 iibertra- 
gen, welcher damit einen Datensatz 22- erhalt, der wiederum 
drei Felder enthalt, die als Sequenznummer 22a •, Nachricht 
22b' und Signatur 22c' angesehen werden. Ublicherweise wird 
dieser Datensatz bereits von anderen S i che rungs- ode r Plau- 
sibilitats-Mechanismen gegen Ubertragungsf ehler gesichert . 

Der Empf anger extrahiert aus dem empfangenen Datensatz 2 2 ' 
die Sequenznummer 22a' und fiihrt diese zusammen mit dem 
Hauptschliissel 11 ■ einer Einweg-Verschliisslung 13' zu, die 
dieselbe wie die Einweg-Verschliisslung 13 in der Zentrale 
10 bzw. dazu funktionsgleich ist. Am Ausgang der Einweg- 
Funktion entsteht ein Priif schliissel 14',. Dieser ist, wenn 
die Sequenznummer korrekt ubertragen wurde, gleich dem Si- 
gnierschliissel 14, den der Absender 2 0 verwendet hat. Der 
Priif schliissel 14- wird zusammen mit der eingetrof f enen 
Nachricht 22b' und der eingetrof f enen Signatur 22c' einem 
Signaturprufer 3 8 zugefiihrt wird. Passen alle drei zueinan- 
der, erzeugt der Signaturprufer. 38 an seinem Ausgang ein 
Freigabesignal fiir die Weiterverwendung der Nachricht. Der 
Pruf schliissel 14' wird, unabhangig von dem Ergebnis, mit 
AbschlulS der Priifung vernichtet . 



In einer Weiterbildung der Erfindung fxihrt der Empfanger 
eine Liste bereits benutzter Sequenzzahlen und weist. Nach- 
richt'en mit bereits verwendeten Sequenzzahlen ab. Damit ist 
eine zusatzliche Sicherheit gegen Mifibrauch gegeben. 

Da die die Sequenzzahl bevorzugt durch einen determinist i - 
schen Generator erzeugt wird, kann die Ubermittlung der Se- 
quenzzahl ent fallen. Da ohnehin der gemeinsame Hauptschliis- 
sel in gesicherter Umgebung an den Empfanger iibertragen 
werden muS, kann zugleich der Anfangswert des Generators 
iibertragen werden. Mit jeder empfangenen Nachricht erzeugt 
der Empfanger einen neuen Wert fiir die Sequenzzahl und bil- 
det damit den Pruf schliissel 14 • , ohne dafi die Sequenzzahl 
mit iibertragen werden mug. Urn robust gegeniiber Doppeliiber- 
tragungen und verlorene Nachrichten zu sein, wird dann 
zweckmafiig auch einer der let z ten und folgenden Sequenzah- 
len mit verwendet werden. Auch hier kann die Zentrale dem 
Absender mehrere Signierschliissel 14 bereitstellen, die 
dann vom Absender in der vorgegebenen Reihenfolge verwendet 
werden sollen. 

Eine mogliche Anwendung der Erfindung liegt auf dem Gebiet 
der Geldausgabeautomaten. Die Zentrale ist dabei die Ban- 
kenzentrale, die fiir die Priifung der PIN einen Hauptschliis- 
sel verwendet und an den Hersteller von Geldautomaten in 
der Zentrale personalisierte Prufmoduln liefert. Als Absen- 
der kommt ein Hersteller oder eine lokale Bankenorgansation 
in Betracht, die beispielsWeise einen Umrechnungskurs oder 
einen Rabattsatz in den Geldausgabeautmaten laden mochte; 
aber weder einen eigenen geheimen Schlussel in den Geldau- 
tomaten einbrigen kann noch einen eigenen Sicherheitsmodul 
einbauen mochte. 
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Falls kein nichtf liicht iger Speicher im Empfanger vorhanden 
ist, kann der Empfanger auch die Sequenzzahlen von Anfang 
erzeugen und mit jeder die Signatur verproben. Der Verlust 
an Sicherheit ist dabei gering, jedoch ist keine Sicherhiet 
gegen Doppelbenutzung gegeben. 



Patentanspruche 

Verfahren zur Signierung einer Machricht (22) durch ei- 
nen Absender (2 0) und Prufung der Signatur durch einen 
Empfanger, wobei eine Zentrale (10) und ein Empf anger 
(3 0) liber einen geheimen gemeinsamen Hauptschliissel 
(11, 11') verfiigen, mit den Merkmalen : 

- Die Zentrale (10) 

* erzeugt eine Sequenzzahl (12) und 

* aus dieser unter Verwendung des Hauptschliissels 
(11) mittels einer Einweg-Verschliisslung (13) einen 
Signierschlussel (14) und 

* stellt dem Absender den Signierschlussel (14) be- 
reit; 

-der Absender (20) ' 

* bildet mittels des Signierschliissels (14) eine Si- 
gnatur (22c) liber die Nachricht (21, 22c) und 

* sendet an den Empf anger einen Nachricht ensatz (22), 
der zumindest die Nachricht (22b) und die Signatur 
(22c) , enthalt . 

- Der Empf anger (3 0) 

* bestimmt die Sequenzzahl (22a'), 

* bildet den mittels der Einweg-Verschliisslung (13*) 
und dem Hauptschliissel (11 ») einen Priif schliissel 
(14*) und 

* priift damit die Signatur (22c) der Nachricht. 

Verfahren nach Anspruch 1, wobei die Sequenzzahl (12, 
22a, 22a*) zusammen mit dem Signierschlussel (14) von 



der Zentrale an den Absender (2 0) ubergeben und von 
diesem liber den Datensatz {22, 22') an den Empfanger 
ubergeben wird. 

Verfahren nach Anspruch l, wobei die Sequenzzahl (12) 
durch einen Generator synchron zu der * Anzahl der ver- 
wendeten Signier- bzw, Priif schliissel in der Zentrale 
(10) und bei dem Empfanger erzeugt wird. 

Verfahren nach Anspruch 1, wobei die Sequenzzahl (12) 
durch einen Generator synchron zu der Anzahl der ver- 
wendeten Signier- bzw. Priif schlussel in der Zentrale 
(10) und bei dem Absender erzeugt und liber den Daten- 
satz (22, 22') an den Empfanger ubergeben wird. 

Verfahren nach einem der vorhergehenden Anspriiche, wo- 
bei die Sequenzzahl durch einen Generator fur Pseudo- 
Zuf allszahlen erzeugt wird. 

Verfahren nach einem der vorhergehenden Anspriiche, wo- 
bei als Einweg-Verschliisslung die Verschlusselung der 
Sequenzzahl mittels des Hauptschliissels verwendet wird. 

Verfahren nach einem der vorhergehenden Anspriiche, wo- 
bei die Zentrale (10) vorab mehrere Signierschliissel 
(14) erzeugt und diese, ggf , gemeinsam mit den zugeho- 
rigen Sequenzzahlen (12), an den Absender (30) libermit- 
telt. 

Verfahren nach einem der vorhergehenden Anspriiche, wo- 
bei der Empfanger (30) eine Liste bereits verwendeter 
Sequenzzahlen fiihrt und bereits verwendete Sequenzzah- 
len abweist . 
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?. Einrichtung zur Signierung einer Nachricht (22, 22'), 
die von einem Absender (2 0) an einen Empf anger (30) ge- 
schickt wird, mit den Merkmalen: 

- Eine Zentrale (10) und der Empf anger (3 0) verfiigen 
iiber einen ersten und zweiten Speicher fur einen ge- 
heimen gemeinsamen Hauptschliissel (ll, 11'); 

- in der Zentrale (10) ist ein erster Einweg- 
Verschliissler (13) an einem Eingang mif dem ersten 
geschiitzten Speicher (ll) , an einem anderen Eingang 
mit einem Generator (12) fiir eine Sequenzzahl verbun- 

.(^ den, 

- der Ausgang des Einweg-Verschliisslers (13) ist iiber 
ein Transportmedium mit dem Absender (2 0) verbunden, 

- beim Absender ist ein Signatur-Generator (24) vorge- 
sehen, dessen Eingange mit dem Ausgang des .Einweg- 
Verschliisslers und der zu signierenden Nachricht (21, 
22b) verbunden sind, 

- der Ausgang des Signatur-Generators (24) ist mit ei- 
ner Einrichtung verbunden, die mindestens die Signa- 
tur (22c) und die Nachricht (22b) zu einem Nachrich- 
tenblock (22) assembliert und deren Ausgang iiber ein 
Transportmedium mit dem Empf anger (3 0) verbunden ist 

• • 

- im Empfanger ist ein Signatur-Priif er {i^J)' vorgese- 

hen, an dessen Eingange einerseits mit '^er Nachricht 
(22b') und der Signatur (22c') des iiber das Trans- 
portmedium eingetrof fenen Nachrichtenblocks (22'), 

- andererseits mit dem Ausgang eines zweiten Einweg- 
Verschliisslers (13') verbunden ist, dessen Eingange 
einerseits mit dem zweiten Speicher (11') fiir den ge- 
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heimen Hauptschlussel und mit einem Mitt el zur Be- 
reitstellung einer Sequenznummer (22a') verbunden 
ist. 

. Einrichtung nach Anspruch 9, wobei ein Generator die 
Sequenzzahl (22a') nach einem deterministischen . Verf ah- 
ren ein oder meherere Sequenzzahlen entsprechend der 
Anzahl der Prxifungen erzeugt . 




Z u s ammen £ a s s uixg 

Verfahren zur Signierung einer Nachricht, wobei eine Zen- 
trale und der Empfanger einen pertnanenten gemeinsamen 
Hauptschliissel haben. Die Zentrale erzeugt vorab eine Se- 
quenzzahl und aus dieser mittels einer Einwegf unktion einen 
Signierschliissel . Beides wird gesichert dem Absender be- 
reitstellt. Der Absender bildet mittels des Signierschliis- 
sels eine Signatur der Nachricht und sendet sie mit Se- 
quenzzahl und Nachricht an den Empfanger. Der Empfanger 
bildet mittels Einwegf unktion/ Hauptschliissel und Sequenz- 
zahl einen Priif schliissel und priift damit die Signatur der 
Nachricht . 



Fig. 1 
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